Descripción General de la PKI de Cisco IOS: Comprensión y Planificación de una PKI

Transcripción

1 Descripción General de la PKI de Cisco IOS: Comprensión y Planificación de una PKI Descargue este capítulo Descripción General de la PKI de Cisco IOS: Comprensión y Planificación de una PKI Descargue el libro completo Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR (PDF - 5 MB) Feedback Contenidos Descripción General de la PKI de Cisco IOS: Comprensión y Planificación de una PKI Contenido Información sobre Cisco IOS PKI Qué es la PKI de Cisco IOS? Descripción General de las Llaves RSA Qué Son las CAs? PKI Jerárquico: Múltiples CAs Inscripción del Certificado: Cómo funciona La inscripción del certificado vía asegura la disposición del dispositivo Revocación de Certificados: Por qué Ocurre Planificación para una PKI Adonde ir después Referencias adicionales Documentos Relacionados Estándares MIB Asistencia Técnica Información de la característica para la descripción del Cisco IOS PKI: Comprensión y Planificación de una PKI Glosario Descripción General de la PKI de Cisco IOS: Comprensión y Planificación de una PKI Primera publicación: 2 de mayo de 2005 Última actualización: De marzo el 31 de 2011 El Public Key Infrastructure (PKI) del Cisco IOS proporciona la administración de certificados para soportar los protocolos de Seguridad tales como seguridad IP (IPSec), Secure Shell (SSH), y Secure Socket Layer (SSL). Este módulo identifica y describe los conceptos para los cuales sea necesario entender, planear, y implementar un PKI. Contenido Información sobre Cisco IOS PKI Planificación para una PKI Adonde ir después Referencias adicionales Glosario Información sobre Cisco IOS PKI Antes de implementar un PKI básico, usted debe entender los conceptos siguientes: Qué es la PKI de Cisco IOS? Descripción General de las Llaves RSA Qué Son las CAs? Inscripción del Certificado: Cómo funciona Revocación de Certificados: Por qué Ocurre Qué es la PKI de Cisco IOS? Un PKI se compone de las entidades siguientes: Pares que comunican en una red segura

2 Por lo menos un Certification Authority (CA) que concede y mantiene los Certificados Certificados digitales, que contienen la información tal como el período de la validez del certificado, información de identidad del par, claves de cifrados que se utilicen para las comunicaciones seguras, y la firma de CA de publicación Un registration authority (RA) opcional para descargar CA procesando las peticiones de la inscripción Un mecanismo de distribución (tal como [LDAP] del protocolo lightweight directory access o HTTP) para los Lista de revocación de certificados (CRL) (CRL) El PKI proporciona a los clientes con un mecanismo scalable, seguro para distribuir, manejar, y revocar el cifrado y la información de identidad en una red de datos seguras. Cada entidad (una persona o un dispositivo) que participa en asegurado comunicado se alista en el PKI en un proceso donde la entidad genera un par clave del Rivest, del Shamir, y del Adelman (RSA) (una clave privada y un clave pública) y tiene su identidad validada por una entidad confiable (también conocida como CA o trustpoint). Después de que cada entidad aliste en un PKI, conceden cada par (también conocido como host extremo) en un PKI un certificado digital que ha sido publicado por CA. Cuando los pares deben negociar a una sesión de comunicación asegurada, intercambian los Certificados digitales. De acuerdo con la información en el certificado, un par puede validar la identidad de otro par y establecer a una sesión encriptada con los claves públicas contenidos en el certificado. Aunque usted pueda planear para y configurar su PKI en varias maneras diferentes, el cuadro 1 muestra los componentes importantes que componen un PKI y sugiere una orden en la cual cada decisión dentro de un PKI pueda ser tomada. El cuadro 1 es un acercamiento sugerido; usted puede elegir configurar su PKI de una perspectiva distinta. Cuadro 1 que decide cómo configurar su PKI Descripción General de las Llaves RSA Un par de llaves RSA se compone de una llave pública y una llave privada. Al configurar su PKI, debe incluir la llave pública en la solicitud de inscripción del certificado. Una vez concedido el certificado, la clave pública se incluirá en el mismo para que los homólogos la puedan utilizar con el fin de cifrar los datos que se envían al router. La llave privada se conserva en el router y se utiliza para desencriptar los datos enviados por los peers y para firmar digitalmente las transacciones durante las negociaciones con ellos. Los pares de llaves RSA contienen un valor de módulo de la llave. El módulo determina el tamaño de la llave RSA. Cuanto más grande es el módulo, más segura es la llave RSA. Sin embargo, las llaves con valores de módulo grandes tardan más en generarse, y las operaciones de encripción y desencripción tardan más con llaves más grandes. Qué Son las CAs? CA, también conocido como trustpoint, maneja los pedidos de certificado y publica los Certificados a los dispositivos de la red participante. Estos servicios (manejo de los pedidos de certificado y publicación de los Certificados) proporcionan la administración de claves centralizada para los dispositivos participantes y son confiados en explícitamente por el receptor para validar las identidades y para crear los Certificados digitales. Antes de que comience cualquier operación PKI, el CA genera su propio par de llaves públicas y crea un certificado de CA auto-firmado; a continuación, el CA puede firmar las solicitudes de certificados y comenzar la inscripción del peer para el PKI. Usted puede utilizar CA proporcionado por un vendedor de tercera persona de CA, o usted puede utilizar CA interno, que es el servidor de certificados del Cisco IOS. PKI Jerárquico: Múltiples CAs El PKI se puede configurar en un marco jerárquico para soportar los CA múltiples. Arriba de la jerarquía está una CA root, que posee un certificado autofirmado. La confianza dentro de toda la jerarquía se deriva del par de llaves RSA de la CA raíz. El subordinado CA dentro de la jerarquía puede ser alistado con raíz CA o con otro CA subordinado. Estas opciones de la inscripción son cómo las gradas múltiples de los CA se configuran. Dentro de un PKI jerárquico, todos los peers inscritos pueden validar el certificado mutuamente si los peers comparten un certificado root CA de confianza o un CA subordinado común. El cuadro 2 muestra las relaciones de la inscripción entre los CA dentro de una jerarquía tres-con gradas. Cuadro 2 topología de ejemplo Tres-con gradas de la jerarquía de CA

3 Cada CA corresponde a un punto de confianza. Por ejemplo, CA11 y CA12 son CA subordinados, sosteniendo los Certificados de CA que han sido publicados por CA1; CA111, CA112, y CA113 son CA también subordinados, solamente sus Certificados de CA han sido publicados por CA11. Cuándo Utilizar Múltiples CAs Las diversas CAs proporcionan a los usuarios un mayor grado de flexibilidad y confiabilidad. Por ejemplo, las CAs subordinadas se pueden colocar en sucursales, mientras que la CA raíz está en la oficina principal. También, se pueden implementar políticas de concesión diferentes para cada CA, de modo que se pueda configurar una CA para que conceda automáticamente solicitudes de certificado mientras que otra CA dentro de la jerarquía requiere que se conceda manualmente cada solicitud de certificado. Los escenarios en los que se recomienda por lo menos una CA de dos niveles son los siguientes: Las redes grandes y muy activas en las que se revocan y se reeditan una gran cantidad de certificados. Ayudas de CA de una grada del múltiplo para controlar los tamaños de los CRL. Cuando se utilizan los protocolos en línea de la inscripción, raíz CA puede ser mantenido offline a excepción de publicar los Certificados de CA del subordinado. Esta situación aumenta la seguridad para la CA root. Inscripción del Certificado: Cómo funciona La inscripción del certificado es el proceso de obtener un certificado de CA. Cada host extremo que quiere participar en el PKI debe obtener un certificado. La inscripción del certificado ocurre entre el host extremo que pide el certificado y el cuadro 3 CA y los pasos siguientes describen el proceso de la inscripción del certificado. Cuadro 3 proceso de la inscripción del certificado 1. El host extremo genera un par clave RSA. 2. El host extremo genera un pedido de certificado y adelante lo a CA (o al RA, si procede). 3. CA recibe la petición de la inscripción del certificado, y, dependiendo de su configuración de red, una de las opciones siguientes ocurre: c. La intervención manual se requiere aprobar la petición. d. El host extremo se configura para pedir automáticamente un certificado de CA. Así, la intervención del operador se requiere no más cuando la petición de la inscripción se envía al servidor de CA. Observe si usted configuran el host extremo para pedir automáticamente los Certificados de CA, usted tiene un mecanismo adicional de la autorización. 4. Después de que la petición sea aprobada, CA firma la petición con su clave privada y vuelve el host completado del certificado al final. 5. El host extremo escribe el certificado a una área de almacenamiento tal como NVRAM. La inscripción del certificado vía asegura la disposición del dispositivo Asegure el dispositivo Provisioning (SDP) es una interfaz basada en web de la inscripción del certificado que se puede utilizar para desplegar fácilmente el PKI entre los dispositivos del dos extremos, tales como un cliente del Cisco IOS y un servidor de certificados del Cisco IOS. El SDP (también referido como a [TTI] transitivo de confianza de la introducción) es un Communication Protocol que proporciona una introducción bidireccional entre las entidades del dos extremos, tales como un nuevo dispositivo de red y un Red privada virtual (VPN). El SDP implica las tres entidades siguientes:

4 Presentador Mutuamente un dispositivo confiable que presenta al solicitante al secretario. El presentador puede ser usuario del dispositivo, tal como un administrador de sistema. Solicitante Un nuevo dispositivo que se une a al dominio seguro. Secretario El servidor de certificados o el otro servidor que autoriza al solicitante. El SDP se implementa sobre un buscador Web en tres fases recepción, introducción, y realización. Cada fase se muestra al usuario vía un Web page. Para más información sobre cada fase y cómo el SDP trabaja, vea configurando para asegurar el dispositivo Provisioning (SDP) para la inscripción en el módulo PKI. Revocación de Certificados: Por qué Ocurre Después de que cada participante haya alistado con éxito en el PKI, los pares están listos para comenzar las negociaciones para una conexión segura con uno a. Así, los pares presentan sus Certificados para la validación seguida por un control de la revocación. Después de que el par verifique que el certificado del otro par fuera publicado por CA autenticado, el CRL o el servidor en línea del protocolo status del certificado (OCSP) se marca para asegurarse de que el certificado no ha sido revocado por CA de publicación. El certificado contiene generalmente un punto de distribución del certificado (CDP) bajo la forma de URL. El Cisco IOS Software utiliza el CDP para localizar y para extraer el CRL. Si no responde el servidor CDP, el Cisco IOS Software señala un error, que puede dar lugar al certificado del par que es rechazado. Planificación para una PKI La planificación para un PKI requiere la evaluación de los requisitos y del uso previsto para cada uno de los componentes PKI mostrados en el cuadro 1. Se recomienda que usted (o el administrador de la red) planea a conciencia el PKI antes de comenzar cualquier configuración PKI. Aunque haya varios acercamientos a considerar al planear el PKI, este documento comienza con la comunicación entre iguales y procede tal y como se muestra en del cuadro 1. No obstante usted o el administrador de la red elige planear el PKI, entienda que ciertas decisiones influencian otras decisiones dentro del PKI. Por ejemplo, la inscripción y la Estrategia de implementación podían influenciar la jerarquía prevista de CA. Así, es importante entender cómo cada componente funciona dentro del PKI y cómo ciertas opciones componentes son dependientes sobre las decisiones tomadas anterior en el proceso de planificación. Adonde ir después Como se sugiere en el cuadro 1, usted comienza a configurar un PKI por las claves RSA que configuran y que despliegan. Para más información, vea las claves que despliegan del módulo RSA dentro de un PKI. Referencias adicionales Documentos Relacionados Tema relacionado Comandos PKI: sintaxis, modo de comando, valores por defecto, Pautas para el uso, y ejemplos del comando complete Título del documento Referencia de Comandos de Seguridad de Cisco IOS Inscripción del certificado: métodos aceptados, perfiles de inscripción, tareas de configuración Configurando la inscripción del certificado para módulo PKI en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura Revocación de certificado y autorización: tareas de configuración Descripción general del servidor de certificados del Cisco IOS y tareas de configuración Provisión de Dispositivos Seguros: descripción y tareas de configuración de la funcionalidad Salvando las claves y los Certificados RSA en un USB etoken Configurando la revocación y la autorización de los Certificados en módulo PKI en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura Configurando y manejando un servidor de certificados del Cisco IOS para módulo del despliegue PKI en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura Configurando asegure el dispositivo Provisioning (SDP) para la inscripción en módulo PKI en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura Salvando módulo de las credenciales PKI en la guía de configuración de la Seguridad de Cisco IOS: Conectividad segura Estándares Estándares Título Ninguno

5 MIB MIB Link del MIB Ninguno Para localizar y descargar el MIB para las plataformas elegidas, las versiones de Cisco IOS Software, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente: Título Certificado del Public Key Infrastructure de Internet X.509 y perfil CRL Pedido de certificado de Internet X.509 Message format (Formato del mensaje) Directiva del certificado del Public Key Infrastructure de Internet X.509 y marco de las prácticas de la certificación Public Key Infrastructure de Internet X.509 Protocolos operativos del Public Key Infrastructure de Internet X LDAPv2 Protocolo status en línea del certificado del Public Key Infrastructure de Internet X OCSP Protocolos operativos del Public Key Infrastructure de Internet X.509: FTP y HTTP Esquema del Public Key Infrastructure LDAPv2 de Internet X.509 Algoritmos de la Prueba-de-posesión de Diffie Hellman Protocolos del servidor de la validación y de la certificación de datos del Public Key Infrastructure de Internet X.509 Asistencia Técnica Descripción Link El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com. Información de la característica para la descripción del Cisco IOS PKI: Comprensión y Planificación de una PKI Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a Una cuenta en el cisco.com no se requiere. Glosario

6 CDP punto de distribución del certificado. Coloque dentro de un certificado digital que contiene la información que describe cómo extraer el CRL para el certificado. Los CDP mas comunes son HTTP y LDAP URL. Un CDP puede también contener otros tipos de URL o de una especificación del directorio LDAP. Cada CDP contiene una especificación URL o del directorio. certificates Documentos electrónicos que atan un nombre del usuario o de dispositivo a su clave pública. Los Certificados son de uso general validar una firma digital. CRL Lista de revocación de certificados (CRL). Documento electrónico que contiene una lista de Certificados revocados. La CA que originalmente emitió los certificados crea y firma digitalmente la CRL. El CRL contiene las fechas para cuando el certificado fue publicado y cuando expira. Se publica un nuevo CRL cuando expira el CRL actual. CA autoridades de certificación. Mantenga responsable de manejar los pedidos de certificado y de publicar los Certificados a los dispositivos participantes de la red IPsec. Este servicio proporciona la administración de claves centralizada para los dispositivos participantes y es confiado en explícitamente por el receptor para validar las identidades y para crear los Certificados digitales. peer certificate Certificado presentado por un par, que contiene el clave pública del par y es firmado por el trustpoint CA. PKI Public Key Infrastructure. Sistema que maneja las claves de encripción y la información de identidad para los componentes de una red que participan en las comunicaciones aseguradas. RA autoridades de registro. Servidor que actúa como proxy para CA de modo que las funciones de CA puedan continuar cuando CA es offline. Aunque el RA sea a menudo parte del servidor de CA, el RA podría también ser una aplicación adicional, requiriendo un dispositivo adicional ejecutarlo. RSA keys El sistema criptográfico del clave pública desarrolló por el Rivest de Ron, el Shamir Adi, y Leonard Adleman. Se requiere un par clave RSA (un público y una clave privada) antes de que usted pueda obtener un certificado para su router. Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at /go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R) Any Internet Protocol (IP) addresses and phone numbers used in this document are not intended to be actual addresses and phone numbers. Any examples, command display output, network topology diagrams, and other figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses or phone numbers in illustrative content is unintentional and coincidental Cisco Systems, Inc. All rights reserved Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 2 Agosto